视频: Juniper Networks point of view on security 2025
您的网络和Internet之间的连接通常通过边界网关协议(BGP)提供。 BGP工作所需的配置可以分为两部分:
-
一个指定你是谁的配置: 你是谁就像标识你的AS一样简单,并指定你想知道的地址。通过在路由选项下设置AS来配置“你是谁”:
<!路由选项{autonomous-system 65001;}许多协议都包含路由器在与其他路由器交换信息时的地址。显式配置用于此类通信的地址通常是一个好主意,这样路由器之间的消息总是清晰的,使得排除故障的过程更容易。您应该始终显式配置路由器ID:
-
<!路由选项{router-id 192. 168. 14. 3}
一个常见的最佳做法是使router-id对应于你的环回接口IP地址。与邻居建立会话的配置:
-
配置完自己的信息后,需要将BGP会话设置为您的外部邻居。
-
在路由器3到路由器5之间配置BGP会话,反之亦然,通过在配置层次结构的协议部分工作,如下所示:
bgp {group those-guys {type external; peer-as 65002;邻居10.0.26.2;}}
你在这里所做的只是明确地定义将自治系统(AS)连接到对等自治系统(AS)的BGP会话。这里指定的邻居地址就是你要连接的对端的接口地址。您为该对等设备配置的自治系统号必须与自己为自己配置的自治系统号匹配。另外请注意,您将此邻居配置为外部类型。这个配置意味着邻居将通过称为
E
BGP的BGP的外部风格连接。 如果你有一个外部的BGP,你也有一个内部版本的BGP(称为IBGP)。而在不同AS的路由器之间配置EBGP,在内部网络内的所有路由器之间配置IBGP。 IBGP允许AS内不是EBGP路由器的路由器到达外部路由器。例如,在运行IBGP的情况下,AS 65002中的路由器6,7和8知道哪些路由在AS 65027中。
您创建的外部BGP(EBGP)会话建立了AS和对等AS之间的连接。但是,它并没有通过BGP连接所有的路由器。您必须在您的路由器之间配置IBGP。配置IBGP与配置EBGP非常相似。要配置路由器3:
[edit protocols] bgp {group my-guys {type internal;邻居192. 168. 14. 1;邻居192. 168. 14.2; neighbour 192. 168. 14. 4;}}
注意这里配置的连接类型:type internal。由于这些是内部邻居,因此JUNOS具有足够的智能,可以知道AS号码与路由选项下配置的AS号码相同。另外,请注意,您已经配置了三个邻居,但拓扑结构显示您只有两个直接的邻居。路由器2只能通过其他路由器访问。
这是因为IBGP有一些限制。缺省情况下,IBGP不能将通过IBGP学到的路由发布给其他IBGP邻居(这是一种防止路由环路的机制)。因此,路由器4通过EBGP从路由器5学习路由。这些路由必须传播到网络的其余部分,以便路由器2可以将流量发送到路由器7.路由器4通过IBGP将这些路由发送到路由器1和3他们之间的会话。由于IBGP不能重新通告这些路由,因此它不能与路由器2共享它们。
为了解决这个“不重新通告”的限制,IBGP需要一个
全网
配置 - 也就是说,网络中的每个路由器都必须配置为网络中每个其他路由器的内部对等体,而不管它们是否通过链路进行物理连接。这就是为什么你看到路由器2配置为路由器3的邻居时,他们没有物理链接。现在在您的路由器上配置BGP。
